2021-09-30 이후부터 발생할 수 있는 인증서 문제 (Let's Encrypt)

카테고리 : 소개/IT 상식

인증서가 문제가 있다면, https사이트에 접속시 불편함을 겪을 수 밖에 없습니다..

 

각종 사이트는 암호화 통신을 위해 TLS용 인증서를 사용하는데, 인증서를 사용하던곳에서 비정상적으로 적용되었거나 문제가 있다면, 사용자의 브라우저에서 접근을 차단하기때문에 더욱 불편함이 커집니다.

 

 

최근 인증서 문제 사례

가장 최근에 문제가 생겼었던 경우는 Sectigo(구 Comodo)의 루트인증서가 만료되어 발생했던 문제가 있습니다.

 

2020-05-30 오류해결) 루트 인증서 업데이트 방법

이전글 hi098123.tistory.com/241 오류해결) NET::ERR_CERT_DATE_INVALID NET::ERR_CERT_DATE_INVALID 오류는 서버 측 문제와 사용자 측 일시적 문제가 있을 수 있습니다. 2020-05-30 오류 뜨는 경우 SSL 인증서를..

hi098123.tistory.com

 

이때, 네이버 등 대형 사이트들 접속이 어려웠던 사용자들이 많았고 네이버는 사용자 불편을 최소화 하고자 다른 인증서(Digicert)로 바꾼적이 있습니다.

 

당시 루트인증서 만료일이 다되어 업데이트가 되어야하나, 서버와 사용자 기기 모두 업데이트가 안된경우에 발생했던 문제입니다.

인증서 체인은 만료가 되어도 한쪽이 신규 인증서를 가지고 있다면 확인이 가능합니다.

 

 

 

 

 

또 다시 일어날 수 있는일

그런데, 두번째 대형 변동이 다가오고 있습니다.

 

이번에는 하루에만 150만건씩 발급하고있고, 티스토리 2차도메인, 각종 블로그서비스용 인증서, 무료 인증서로 유명한 Let's Encrypt입니다.

 

Let's Encrypt는 2021-01-11(GMT 기준)이후로 발급하는 인증서에 대해 새로운 루트 인증 서명을 하게됩니다.

쉬운말로는 싸인이 바뀐다고 생각하시면 이해가 쉽겠습니다.

 

때문에 이 루트인증서(쉽게 인증기관의 싸인)가 적용되어 있지않은 2016년 이후 업데이트를 하지 않은 7.1.1 이전의 Android 버전에서는 맞는 서명인지 대조가 불가하게 됩니다.

 

전 세계 사용자의 33.8%가 7.1.1이전의 안드로이드 버전을 사용하고 있으며, 이 기기에서는 인증서가 업데이트 되지 않아 문제가 발생할 수 있습니다.

 

 

 

과연 문제가 커질까?

파이어폭스(Firefox) 모바일 브라우저에서 자체적으로 인증서를 반영하는 업데이트를 해도 이러한 문제를 일부 막을 수 있습니다.

다만, 기기에서 따로 통신하는 일부 앱에 Let's Encrypt로 서명된 경우에는 맞는 서명인지 확인이 불가하기때문에 통신이 안될 수 있습니다.

 

결국에 제 생각으로는 구버전 기기에서 웹사이트는 문제가 안될가능성이 크지만, 브라우저가 아닌 앱에서 통신시에 문제가 될 가능성이 커보입니다.

(개발자를 위해 : 웹뷰 또한 기기 내부의 인증서를 사용하므로 문제될수도 있을걸로 예상됩니다.)

 

내가 안드로이드 앱 개발자고 앱 내에서 루트인증서 업데이트를 지원하는 방법을 알고 싶다면? 깃허브의 다음 쓰레드로부터 정보를 얻으세요~

 

Review impact of let's encrypt CA change · Issue #6403 · square/okhttp

Effective: As of January 11, 2021 https://letsencrypt.org/2020/11/06/own-two-feet.html However, this does introduce some compatibility woes. Some software that hasn’t been updated since 2016 (appro...

github.com

 

 

 

 

왜 이런 루트인증서 업데이트를 하나요?

루트인증서에도 만료시간이 있습니다.

흔히 사용하는 은행 공인인증서에도 1년이라는 사용기한이 있으며, 만료시간은 도난/해킹등 여러 문제를 막아주는 마지막 장치가 됩니다.

 

Let's Encrypt는 기존에 DST Root X3라는 인증서를 IdenTrust라는 CA(인증 기관)으로부터 발급받아 사용중이었습니다.

이 루트인증서의 만료기한은 2021-09-30입니다.

DST Root X3 인증서

내년 가을에 만료가 되기 때문에 대비를 해서 차근차근 업데이트를 해야됩니다.

 

2021-09-30 이후 신규 발급 부터 새로운 루트인증서를 사용하게 되는데 Let's Encrypt의 인증서를 사용하는 사이트에서 문제가 발생할 수 있습니다.

 

 

 

 

문제가 없는 방법을 택할수는 없었나?

위에서 말했던 내용중 "DST Root X3라는 인증서를 IdenTrust라는 CA(인증 기관)으로부터" 라는 문구가 등장합니다.

 

그런데 위 내용은 인증기관(CA)으로 문제가 될 여지를 포함하고 있습니다.

바로 타사에 루트인증서를 받게된건데, 이는 인증기관(CA)의 인증서를 다른 기관이 위조할 수 있음을 의미합니다.

 

IdenTrust사가 그럴일은 0%에 가깝겠으나 인증서를 위조해서 동일하게 제작이 가능하단 점은 Let's Encrypt에게도 문제로 여겼을 가능성이 있습니다.

초기에 여러 대기업들의 지원을 받아가며 유지를 했던 서비스지만, 이런 부분에서의 의존도는 줄여가는 방향이 장기적으로 맞다고 판단합니다.

 

 

 

 

Standing on Our Own Two Feet - Let's Encrypt - Free SSL/TLS Certificates

When a new Certificate Authority (CA) comes on the scene, it faces a conundrum: In order to be useful to people, it needs its root certificate to be trusted by a wide variety of operating systems (OSes) and browsers. However, it can take years for the OSes

letsencrypt.org

 

 

저작권 보호안내
무단 전재, 재배포 행위는 금지됩니다. (글을 복사하여 게시금지)
본문의 일부(링크용 문장) 인용은 가능하지만, 출처와 링크(a 태그)를 남기셔야 됩니다.
(웹툴을 이용하고, 스크린샷/녹화하는것은 상관없습니다.)

예외적으로. 저에게 허락받은 경우에는 본문을 전재할 수 있습니다.

만약, 본문 공유를 원하신다면 링크 공유를 해주세요

저작권 정책 확인하기
링크 공유하기

 댓글 (1개)